浅谈油气生产企业网络安全体系研究与建设
许洪东,张春宇,杨 帆
(大庆油田有限责任公司第七采油厂,黑龙江 大庆 163000)
[摘 要] 近年来,网络安全事件频出,攻击手段层出不穷,面对日益严峻的网络安全形势,国家相关部门不断加大网络安全检查力度,以查促改,补齐短板,初见成效。大型油气生产企业的网络主要服务于油田生产及运行,易遭受计算机病毒、木马程序、钓鱼邮件等网络恶意行为的威胁,网络安全事件造成的损失与日俱增。本文通过对油气生产企业网络安全问题全面研究和分析,进一步优化油气生产企业网络,不断完善网络安全体系,提高网络安全防护能力。
[关键字] 网络安全;病毒防护;工控安全;物联网安全
1 网络安全总体形势
随着信息技术飞速发展,网络应用对人们生活的改变逐步深入,已经成为影响国家经济发展的关键行业。企业对网络的依赖也不断增加,渗透到生产、加工、销售等企业生产经营的各个环节。与此同时,网络安全问题也随之而来,企业重要数据、商业机密、工业控制等系统都成了网络攻击的对象,网络安全风险与日俱增。
设计意图:在教材编排上,植物分类和动物分类两块内容有重复之嫌。以植物分类的学习为基础,安排小组合作学习活动,最后画出动物分类的概念图,使知识条理化、系统化,以解决动物分类的问题,可以有效地避免因这种内容重复而带来的学习方式上的重复性。小组合作讨论可以培养学生的团结协作能力、发现问题和解决问题的能力,掌握分类技能。教师要用激励性的语言提高学生参与的积极性,制造课堂气氛,并鼓励学生大胆尝试。
1.1 网络安全事件层出不穷
2015年12月23日,乌克兰电力部门遭受恶意代码攻击,攻击者入侵了监控管理系统,造成了严重的断电事故;2017年5月12日,全球范围爆发针对Windows操作系统的勒索软件感染事件,国内企业、学校、医疗、电力、能源、银行和交通等多个行业均遭受不同程度的影响。
1.2 攻击手段种类繁多
随着互联网技术的发展,网络攻击方式也在不断增加,如破坏型攻击方式:DDOS攻击、勒索病毒等;窃取型攻击方式:木马、SQL注入等;诈骗型攻击方式:钓鱼邮件、网站、短信等。
项目的成本控制指的是对养护生产和经营中所耗费的人力、物力资源进行调节和限制,一旦出现和计划不相符合的偏差,负责的工作人员要及时指出,把每个项目所需要的生产费用尽可能的控制在成本计划的范围之内,保证预期目标的实现。进行成本控制的最有效的方法就是“量入为出”。
1.3 油气生产企业网络安全形势严峻
油气生产企业网络安全管理组织体系应具备安全建设、技术研究、分析保障、运维监测、协调管理、监督检查和领导决策等7项职能。在油气生产企业信息安全领导小组统一领导下,可以分为监测、保障、管理和决策等4个层级,建立各级信息安全管理组织体系,确保信息安全管理工作有效落实。
2 油气生产企业网络安全体系架构
网络安全技术体系是以安全策略为指导,从终端计算机安全、局域网安全、物联网安全、工控系统安全等多个方面开展安全防护工作,立足成熟的网络安全技术和安全措施,建立多层次、多维度的油气生产企业网络安全技术体系。
3 油气生产企业网络安全管理体系建设
3.1 组织体系建设
从最初的企业网、终端计算机、服务器、笔记本电脑等常用办公设备,到数字油田建设所使用的数字仪表(RTU、无线压力变送器、无线温度变送器、数字流量计等)都成了攻击方重点关注的对象,随着设备增加,防御难度越来越大。
3.2 制度和标准建设
人在整个安全体系中处于核心地位,人员的网络安全意识和基本技能在很大程度上决定了安全防护体系和措施的效果。因此,要按照“谁主管谁负责,谁建设谁负责,谁运维谁负责,谁使用谁负责”的原则,统一领导、各司其职,推行安全管理责任制。
3.3 安全管理责任制建设
网络安全“三分技术,七分管理”,在安全事件危害影响更大的油气生产企业信息系统中,对安全管理提出了更高的要求。因此,建设完善的管理制度和标准也是网络安全体系建设的重要内容。建立信息安全制度和标准,提出解决突出问题的思路,不断完善信息安全管理办法和信息安全标准。
4 油气生产企业网络安全技术体系建设
随着工业化与信息化深入融合,信息技术已经在油气生产过程中发挥着至关重要的支撑作用,计算机网络已成为油田生产、经营管理、信息沟通、数据共享的重要桥梁,也是建设数字油田、智能油田、智慧油田的基础保障。然而,在油气生产企业勘探开发、生产管理以及指挥调度等工作中,网络安全攻击风险不断增多,直接威胁企业正常生产运行。面对日益严峻的网络安全问题,油气生产企业必须制定一套健全的网络安全体系,确保油田生产经营有序进行。因此,在认真落实上级部门相关政策方针的同时,从管理和技术两方面深度研究,构建总体网络安全体系架构。
4.1 终端计算机安全管理策略
终端计算机安全主要面临操作系统漏洞和用户错误操作两方面网络安全威胁。针对操作系统漏洞,可以通过安装桌面安全管理软件,并通过软件定期为终端计算机安装系统补丁,设置强壮操作系统登录口令,有效保护局域网内终端计算机安全。针对用户错误操作类问题,制定并落实《办公计算机终端安全防护指南》,敦促所有计算机用户遵守计算机用户守则,降低桌面计算机风险。
4.2 局域网安全管理策略
服务器作为整个网络的核心,经常成为攻击的首选目标。针对服务器安全,油气生产企业主要应进行以下几项工作。一是将所有服务器划分至一个单独的VLAN中,并单独设立网络防火墙,减少服务器受到的外部攻击。二是进行云数据迁移,将本地数据迁移至云数据中心,保证数据两地存储,防止数据损坏或丢失。三是应用虚拟服务器技术,提高数据容灾能力,单台虚拟服务器恢复时间在4 h以内,数据库恢复时间在10 min以内。
在之前的文章里,我们强调过,沪指的2700点是估值的分水岭线,2500点是估值的底线,2300点则是市场的“砸锅卖铁抄底”线!认识清楚这些点位和界线,我们就可以根据对市场后市的走向,设计出符合自己个人投资风格的策略和计划,以及提前建立与投资风格相对应的股票池。
4.3 服务器安全管理策略
局域网安全主要面临交换机自身问题和用户违规操作等两个方面的问题。针对交换机自身问题,要做好交换机配置,关闭Telnet功能,关闭443、137、138、139等易被攻击的端口;在网络出口处架设硬件防火墙,定期更新特征库,防御1~4层网络协议攻击;在防火墙与核心交换机中间安装入侵防御系统(IPS),定期更新特征库(包括攻击库、病毒库、协议库),防御网络攻击。针对用户违规操作,通过核心交换机IP与MAC绑定减少非法占用IP问题,通过交换机VTP、STP协议配置减少环状网引发断网问题,运用防火墙软件过滤配置杜绝二级代理问题,通过VRV扫描实时监控私接宽带问题,同时加大检查力度,杜绝发生外网远程控制内网计算机事件。
4.4 物联网安全管理策略
随着油气生产物联网的建设与应用,大量生产数据将被采集存储,数据安全尤其重要,油气生产企业应针对数据采集安全与数据存储安全,提早介入研究,制订安全管理方案。一是统一传输协议,制定数据采集、存储标准,加装硬件防火墙,提高数据传输安全。二是运用分布式数据库技术,有效结合数据存储发布服务器与RTU采集服务器,提高数据存储安全性与时效性,同时运用光存储服务器实时存储采集到的数据。三是运用数据加密技术,传输数据不体现任何与油田相关的标识,确保数据即使被截获也无法被破解。四是RTU端与服务器端互相认证,实现数据“一对一”传输,降低被截获概率。
4.5 工控系统安全管理策略
工控系统泛指联合站、中转站等站内控制系统,工控系统一旦受到黑客攻击、病毒植入等威胁,将带来极大损失。随着数字油田建设,油田站内数据又急需实时回传至采油厂,给网络安全工作带来了极大的挑战。针对物理隔离的站内工控系统,主要做好工控机补丁更新、防病毒软件安装,关闭USB口使用功能等。针对需要回传数据的站内工控系统,除做好上述工作外,需单独架设光纤,实现数据采集服务器“一对一”链接工控系统,同时实施以下安全防护策略。一是硬件防护策略。实现工控网络与生产网络间的单项阻截,阻止来自外部系统的非法访问、非法攻击,阻拦病毒、恶意软件攻击行为,保护控制系统安全运行。二是蜜罐防护系统。若非法攻击、恶意程序、病毒等伪装进入工控网络,通过建立的蜜罐系统,诱导非法攻击进入蜜罐机,并对其进行封锁,获取非法攻击相关资料。三是安全审计系统。在生产网与工控网旁路部署网络检测与审计设备,实时检测网络中的恶意攻击,详细记录网络流量,识别潜在风险,对恶意操作行为进行取证,便于维护人员管理。四是PLC安全系统。在PLC前端部署安全模块,实现智能终端设备安全,使PLC具有抵抗ARP、网络风暴、短链接、过滤非业务流量等攻击的能力,增强设备通信稳定性。
5 结 语
网络安全工作与时俱进。以现有的网络安全技术和管理手段,很难抵挡日新月异的网络攻击手段,油气生产企业网络安全需要添加诸如入侵监测系统、上网行为管理系统、安全态势感知系统等软硬件。在未来,运用大数据技术构建一个网络安全综合防御体系,进而提高整体网络安全管理水平。网络安全工作没有捷径,是一项综合性的工作,需要企业全员具有网络安全意识,让所有员工共同努力,严于律己,规范网络行为,从根源杜绝网络安全隐患。同时,以网络安全体系为根本,加强技术跟踪和研究,提高网络安全防护与追踪能力,构建强壮的网络安全防护系统。网络安全工作任重道远。在油气企业网络安全体系建设中,主要从管理和技术两方面开展工作,以加强终端、网络、软件、数据的安全管理为目标,以安全入网、分区隔离、纵深防御、统一监控、实时预警为总体策略,强化综合防护能力,落实安全管理要求,实现网络安全工作在油气生产企业实现常态化发展。
原则上参照公务员管理办法签署劳动合同的员工(包括马普学会各研究所所长以及马普学科负责人)从事兼职活动时,须经学会主席批准;W2级别的科研小组组长和其他参公管理的员工须向所长报批,并向研究所全体员工和管理部门通报咨询协议内容;非参公管理的员工从事兼职,只需向研究所领导报告;担任顾问期间如需使用学会的公共资源,应与马普学会签署书面协议,按市场通行标准支付使用费。
主要参考文献
[1]马义.大数据时代背景下计算机网络信息安全防护技术研讨[J].电脑知识与技术,2017(25).
[2]王忠.大数据时代下计算机网络信息安全问题研究[J].信息与电脑:理论版,2017(15).
[3]王菲.关于大数据时代的计算机网络安全及防范措施探讨[J].电脑知识与技术,2017(17).
doi: 10.3969/j.issn.1673-0194.2019.22.030
[中图分类号] D412.6
[文献标识码] A
[文章编号] 1673-0194(2019)22-0065-02
[收稿日期] 2019-10-07
标签:网络安全论文; 病毒防护论文; 工控安全论文; 物联网安全论文; 大庆油田有限责任公司第七采油厂论文;